Vou postar um print que tirei do meu mikrotik sera que estou sendo atacado se estiver como proceder.
Vou postar um print que tirei do meu mikrotik sera que estou sendo atacado se estiver como proceder.
Boa noite amigo, isso é apenas os botnet tentando logar no seu mk através da porta 22 (ssh), você pode "desativar" o login para todos indo em Ip/Services procure por SSH, ponha em Avaliable ip o seu ip local ou toda sua rede interna, outra forma seria via firewall, barrando o acesso externo ou filtrando (Mais difícil).
Se ajudei manda um joinha :0
programas robos qualquer equipamento sofre este ataque, no mikrotik é mais visivel devido a usar muito o log
use estas regras
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="BARRAR BRUTE FORCA PARA FTP"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp psd=20,3s,3,1
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados
Última edição por Acronimo; 02-11-2014 às 13:35. Razão: fontes
Um boa pratica e bloquear as portas que voce nao usa e de acesso a parti de redes que nao deveria.
E so alterar a porta padrao do SSH para outra e dropar IP ou interface que nao deveria ter acesso.
A regra de firewall que foi postada aqui funciona muito bem para impedir força bruta embora eu prefiro fazer uma sessão VPN na central e ter acesso ao meus equipamentos a parti da rede interna assim so libero acesso a minha rede.
Um outra coisa que voce pode fazer e negar acesso a parti de IP internacional ou seja nao tem o porque de IP de outro pais tentar acessar seus equipamentos.
Altere a senha do ADMIN tambem, nao deixe padrao pois ja peguei provedores com senha ADMIN em branco. Eu costumo tirar o nivel de acesso do admin para read e coloco um outro usuario como acesso FULL e so permito este usuario acessar com IP da minha rede, lembrando que faço VPN para acessar.
Mudando a porta padrão do SSH você já consegue fugir de 99% dos bots, só receberá tentativas se o ataque for realmente direcionado a você. Mas é claro que regras de firewall são sempre bem vindas.